Fra*_*fka 5 javascript java xss jsf jsp
从dbms我得到的东西像<font color="red"> abc</font>.当它到达${someManagedBean.someValue}我的xhtml文件时,输出被清理.对于99,999%的案例来说,这是非常好的.
问题:有没有办法禁用此自动转义?
奖金问题:我可以只允许html并禁止使用javascript吗?
Jam*_* DW 13
<h:outputText value="#{someManagedBean.someValue}" escape="false" />
https://docs.oracle.com/javaee/7/javaserver-faces-2-2/vdldocs-facelets/h/outputText.html
escape=false
虽然不确定是否会阻止JS.您可能必须自己解析HTML以删除<script>和内容.
编辑 - 删除链接(http://www.jsftoolbox.com/documentation/help/12-TagReference/html/h_outputText.html),因为它是陈旧的.替换为Oracle链接.